如何在Android上检测SSL固定

我已经安装并配置了

sslsplit

，生成了根证书，并将其添加到移动电话（Android）中

---

如何检测SSL固定

在移动设备与其通信的服务器之间放置代理时，使用SSL证书固定或公钥固定的应用程序应无法与服务器通信（因为它将接收SSL剥离的证书，而不是证书链中的服务器的证书）

---

如果应用程序无法与服务器通信-这意味着证书固定正在工作。

我知道Gmail应用程序有SSL证书固定，但我仍然可以连接到谷歌邮件服务器，并通过sslsplit proxyWell发送/接收信件。在这种情况下，你可以调试应用程序（我想你想测试你自己的应用程序）。在实现SSL工厂时，您应该覆盖“checkServerTrusted”函数，并对该函数接收的证书链进行检查。服务器的证书应该是链中的第一个证书。如果不是-这意味着你和你的服务器之间有一个代理监控流量。不，我想在SSL固定和HPKP上测试不同的应用程序，如WhatsApp、Uber、Gmail等。另外，我想自动完成这项工作。是的，我可以反转此应用程序。我在代码中找到了SSL工厂，但我不明白为什么我仍然通过sslsplit代理连接到服务器。你需要使用一个工具来绕过证书固定，而不是进入代码中自己做。请查看以运行证书固定测试并验证您的配置是否正确。之后，您可以查看哪些将帮助您通过特定应用程序的固定机制。请查看此处以获取更多信息：。